Buildroot > gehärtetes, minimales Linux als Firmware?

Hallo Linux-Benutzer,

ich möchte eine eigens entwickelte Software auf einem Raspberry PI für Systemhäuser anbieten. Die jeweligen Systemhäuser wären bei Gelingen entsprechend meine Kunden, die diese installierten RPIs bei ihren Kunden verbauen und aus der Ferne administrieren würden. Ich würde meine Software vorinstalliert auf einem Image zum Download anbieten, das die Systemhäuser nachher auf SD-Karten flashen können.

In dem Zuge habe ich mich mit Buildroot beschäftigt, da ich eine Art unabhänge Firmware anbieten will. Damit will ich umgehen, dass irgendjemand in dieser Kette an einen Linux Distibutor und dessen Updates gekoppelt wäre oder mehr Software auf dem System vorhanden wäre, als notig. Dieses Grundsystem wird nur alles Notwendige enthalten und muss nachher gehärtet werden. Nach jetzigem Plan wäre nur der TCP Port 80 durch einen Nginx geöffnet. Ich würde auch keine Shell, kein SSH oder Sonstiges starten. Nun die Fragen...

Kann ich mich beim Härten des Systems auf den Nginx beschränken, wenn das der einzig laufende Service ist, und jede Kommunikation theoretisch da hindurch muss?
Ich würde Updates für meine Software anbieten, die auf diesem Grundsystem läuft und erwarten, dass meine Kunden bei etwaigen Problemen mit dem Nginx entprechend ein neues Image ziehen müssen. Ist das okay?

Dazu gesagt; die eigentliche Software kann aus meinen Quellen immer neu eingerichtet werden. Die RPI Clients sollten somit jederzeit mit einem neuen Grundsystem geflasht werden können, ohne dass das eine großartige Neueinrichtung zur Folge hätte. Mein Problem ist eben, dass ich für das minimale Linux unten drunter, keine Paketverwaltung mit anbieten möchte. Ähnlich wie bei so einem TP-Link Router, den man notfalls selbst flashen muss.

Danke.

1 Antwort

Vom Beitragsersteller als hilfreich ausgezeichnet

Kelec

21.03.2025, 12:00

1. Kommt drauf an, aber wenns wirklich gehärter sein soll nein.

Jede Software hat Fehler, Sinn des härtens ist es das Ausbreiten eines Exploits zu erschweren nicht diesen gänzlich zu verhindern.

Ein gehärteter Kernel, SELinux usw tragen dazu bei, dass ein Exploit im Nginx nicht zu einem Backdoor aufgeweitet werden kann.

2. Prinzipiell ja.

Zu Buildroot ist das nicht das selbe wie Härten, es ist eben nur ein System mit welchem du ein Image erstellen kannst, ob du nun aber Buildroot, Yocto oder ein LFS verwendest um das System aufzubauen ist egal und es ist dadurch nicht automatisch gehärtet.

Du musst natürlich immer dahinter bleiben wenn du selbst Systemupdates anbietest

DrSalt

Beitragsersteller

21.03.2025, 12:06

Okay, danke. Das Image + Overlay FS usw., das mir ermöglicht das Webfrontend des PIs zu benutzen ist fertig. Ich würde dann noch entsprechend die Console und den das Root Login ausmachen.

Und verstehe; ich werde mich jetzt damit beschäftigen, wie ich den Kernel und dessen Features am besten einstelle. Das Motto ist, dass alles raus muss, was man nicht braucht.

Kelec

21.03.2025, 12:09

@DrSalt

Root Login ist für die Sicherheit aber relativ schlecht. Das System sollte gar kein Root für eine User erlauben.

Alles raus ist ein erster Ansatz aber nicht das Ende. So Dinge wie Bufferoverflow Mitigation, Prozess Isolation usw. Tragen auch dazu bei.

Wenn der Angreifer nicht aus dem Nginx raus kommt kann er auch nicht mehr machen.

DrSalt

Beitragsersteller

21.03.2025, 12:17

@Kelec

Ich meine, dass ich den Root ausstelle. Also weder Prompt, noch Login.

[ ] Enable root login with password
│       /bin/sh (busybox' default shell) --->
│   [ ] Run a getty (login prompt) after boot --->

Der Nginx läuft unter www-data und darf erstmal gar nichts. In Buildroot gibt es ein Taxtfile mit einer Tabelle, in der ich jede Dateiberechtigung für den Nginx einzeln einstelle. Also der darf auch nicht im Quellcode vom Webroot schreiben.

"So Dinge wie Bufferoverflow Mitigation, Prozess Isolation usw. Tragen auch dazu bei." -> Da werde ich mich jetzt reinlesen. Danke für den Hinweis und die Ermutigung :)

DrSalt

Beitragsersteller

21.03.2025, 12:23

@DrSalt

Habe nochmal über "Root Login ist für die Sicherheit aber relativ schlecht. Das System sollte gar kein Root für eine User erlauben." nachgedacht. Du meinst, dass "nicht einloggen dürfen" den Root nicht gänzlich sperrt? Also Sudo oder sowas gibt es natürlich auch nicht. Bis auf die zwei obigen Checkboxen habe ich innerhalb Buildroot nichts gefunden. Ich frage noch mal nach, nicht dass es noch andere Möglichkeiten gibt Root-Rechte zu erlangen?

Kelec

21.03.2025, 13:51

@DrSalt

Ich meine damit nur dass es nicht möglich sein sollte für nginx oder von außen zu root zu werden.

Dann bleibt nur Privileg Escalation übrig und da hilft eigentlich SELinux bereits weiter.

Für nginx sollte es zudem keine Möglichkeit geben Shellscripte von seinem user aus zu starten.

Ähnliche Beiträge

Linux autoremove Paket nicht wichtig?

Hallo,

immer wenn ich Software installiere sagt mit Linux

Die folgenden Pakete wurden automatisch installiert und werden nicht mehr benötigt:
  libwpe-1.0-1 libwpebackend-fdo-1.0-1 linux-image-6.1.0-13-amd64
  linux-image-6.1.0-17-amd64 python3-proton-vpn-session
Verwenden Sie »sudo apt autoremove«, um sie zu entfernen.

und wegen dem Namen also linux-image bin ich mir unsicher, da ich es schonmal hatte das ich mir durch diese "nicht benötigten" Pakete mein System zerschossen habe

...zum Beitrag

grub-mkconfig syntax error?

Ich habe versucht den zen kernel zu installieren. Dafür habe ich den nochmal mkconfig -o /boot/grub/grub.cfg eingegeben. Dann hat mein Rechner nicht mehr gebootet. Jetzt bekomme ich die ganze zeit diese meldung:

GRUB-Konfigurationsdatei wird erstellt …
Linux-Abbild gefunden: /boot/vmlinuz-linux
initrd-Abbild gefunden: /boot/initramfs-linux.img
Found fallback initrd image(s) in /boot:  initramfs-linux-fallback.img
Linux-Abbild gefunden: /boot/vmlinuz-linux
initrd-Abbild gefunden: /boot/initramfs-linux.img
Found fallback initrd image(s) in /boot:  initramfs-linux-fallback.img
Warnung: Zur Erkennung anderer bootfähiger Partitionen wird os-prober ausgeführt.
Dessen Ausgabe wird zur Erkennung bootfähiger Programmdateien und Erzeugen neuer Boot-Einträge verwendet.
Windows Boot Manager auf /dev/sdc1@/EFI/Microsoft/Boot/bootmgfw.efi gefunden
Warnung: Zur Erkennung anderer bootfähiger Partitionen wird os-prober ausgeführt.
Dessen Ausgabe wird zur Erkennung bootfähiger Programmdateien und Erzeugen neuer Boot-Einträge verwendet.
Windows Boot Manager auf /dev/sdc1@/EFI/Microsoft/Boot/bootmgfw.efi gefunden
Bootmenü-Eintrag für UEFI-Firmware-Einstellungen wird hinzugefügt …
Bootmenü-Eintrag für UEFI-Firmware-Einstellungen wird hinzugefügt …
Fehler: syntax error.
Fehler: Incorrect command.
Fehler: syntax error.
Syntaxfehler in Zeile 261
In der erzeugten GRUB-Konfigurationsdatei wurden Syntaxfehler
erkannt. Stellen Sie sicher, dass die Dateien etc/default/grub
und /etc/grub.d/* fehlerfrei sind oder melden Sie einen Fehler
und hängen die Datei /boot/grub/grub.cfg.new an.

Was kann ich dagegen tun?

...zum Beitrag

Kann nur noch in Linux booten?

Ich habe mir vor 2 Tagen Mint installiert, ich benutze zum ersten mal Linux. Ich habe es auf einer zweiten SSD neben Windows auf der installiert, nach dem ersten mal neustarten bin ich in Windows gelandet und musste die boot priorität umstellen, danach hat alles geklappt und ich habe auch schon einiges über linux gelernt. Gestern wollte ich wieder auf Windows booten und stellte fest, dass es diese boot-option nicht mehr gibt und nur noch linux erkannt wird. Ich habe in Linux dann eine boot-stick mit der Windows-Iso erstellt, dieser wurde auch nicht erkannt. Ich habe dann auf meinem Laptop mit der Installationssoftware vom Microsoft einen boot-stick erstellt, dieser wurde erkannt, kann allerdings mein Windows nicht reparieren. Die Windows-SSD habe ich nie modifiziert, an was kann dies also liegen und was sollte ich tun?

Specs: Msi z690 edge wifi ddr4

Intel Core i5-14600kf

Geforce Rtx 4070

2*16GB Kingston ddr4

...zum Beitrag

Rocky Linux 9 Problemchen?

Hallo zusammen,

ich versuche gerade auf meinem alten Laptop Rocky 9 zu installieren. Ich habe auch bereits Fedora installiert und das hat ohne Probleme geklappt. Aber bei Rocky 9 steht immer bei Software "Software Selection: Failed to set up installation source"
Ich weiß nicht warum, ich hab online jetzt auch nichts gefunden dazu

Als 2. Frage aber: https://rockylinux.org/download/ Ich hab von hier die ISO, die x86_64 Boot Iso. Einerseits: Ist das die Rcihtige? Andererseits: Was ist der unterschied zwischen den anderen? Also 86 und ARM weiß ich soweit aber was genau ist der Unterschied bei Minimal, DVD, Boot, Torrent, Checksum?

Ich danke euch jetzt schon für die Hilfe ^^

...zum Beitrag

3D Image Preview - Linux?

Hallo,

ich suche nach einer Software mit 3D Image Preview (3D Bilder Vorschau).
Aus dem Film "The Girl with the dragon tattoo" habe ich die Inspiration her.
Kenne leider den Namen dieser Software nicht, aber konnte eine für Windows finden (BonAviewer - Url: https://www.highmotionsoftware.com/products/bonaview)

Also Hilfe habe ich mal zwei Screenshots hier angefügt damit ihr wisst was ich genau meine.

Ich suche eine Linux Software mit der selben Ansichtsfunktion

...zum Beitrag

Warum habe ich eine bessere runterladen Geschwindigkeit auf linux?

...zum Beitrag

Kali Linux Installation?

Guten Morgen,

Ich habe mir gestern meinen neuen PC zusammengebaut und möchte Kali Linux als Betriebssystem verwenden. Bevor mir dazu geraten wird, als "Nicht-Profi" besser eine andere Distribution zu nutzen, möchte ich dazu sagen, dass ich vor einiger Zeit schon einmal mit Kali Linux auf meinem alten Laptop gearbeitet habe und zurecht kam. Zudem belese ich mich derzeit in einem Fachbuch, das ein installiertes Kali Linux ohnehin voraussetzt und ich bin nicht gewollt, eine andere Distribution zu verwenden bzw. Kali als Live-System auszuführen. Mag sein, dass es derzeit nicht das geeignetste OS für mich ist, aber aus genannten Gründen bestehe ich dennoch auf die Installation und versuche mich gut einzuarbeiten.

Ich habe den offiziellen 64-bit Installer gestern mittels Etcher unter Windows auf einen USB-Stick geflasht. Das BIOS hatte ich soweit konfiguriert, also Secure Boot deaktiviert und ein USB-Laufwerk als erste Boot-Option festgelegt.

Nach dem Reboot hat soweit auch alles wie erwartet funktioniert und das Kali-Image wurde ausgeführt. Nach der Auswahl der grafischen Installation bekam ich erst einmal eine Fehlermeldung durch das BIOS:

BIOS Error (bug): Failure creating named object [...]
AE_ALREADY_EXISTS (20220331/dswload2-326)
Error: AE_ALREADY_EXISTS, During name lookup/catalog

Nach Recherche wird dieser Fehler offenbar durch eine Windows-spezifische Firmware verursacht. Allerdings soll er wohl keine Auswirkungen auf die Funktionalität und Lauffähigkeit des Betriebssystems haben.

Nach kurzer Zeit wurde das System dann gemountet und es folgte die grafische Einrichtung. Erste Probleme gab es dann bei der Konfiguration des Netzwerkes. LAN-Anschluss und WLAN-Antenne wurden immerhin erkannt, allerdings fehlen WIFI-Treiber, laut System dieser hier:

iwlwifi-so-a0-gf-a0-72.ucode

Dementsprechend schlägt die Verbindung fehl und einen LAN-Anschluss habe ich in diesem Raum nicht zur Verfügung. Soweit ich weiß, kann ich entsprechende Treiber später im System aus dem firmware-iwlwifi Paket beziehen. Darum werde ich erstmal versuchen, ob eine kalelgebundene Internetverbindung Probleme bereitet.

Dennoch habe ich irgendwie ein ungutes Gefühl und wollte hier um Rat fragen, da es offenbar zu Problemen mit Treibern und Firmware kommt und ich davon ausgehe, dass diese nicht weniger werden. Mein Mainboard (MSI Pro Z790-A Wifi mit Core i7-12700K) stellt soweit ich weiß nur Treiber und zusätzliche Firmware für Windows 10/11 Systeme zur Verfügung. Eine reibungslose Installation mit sämtlicher notwendiger Firmware und Treibern wäre schon wünschenswert. Allerdings weiß ich nicht, wie ich nun am besten vorgehen sollte bzw. wo ich diese installieren kann.

Ich freue mich auf Eure Antworten und bin für jeden Ratschlag sehr dankbar!

LG Heinzfred

...zum Beitrag

wie kann ich tor auf linux installieren ohne 3 stunden tutorials zu schauen?

ich habe debian installiert, habe jetzt tor für linux runtergeladen aber bekomme das nicht hin, hab den .tar.rz ordner entpackt, jetzt ein .tar ordner und da ist nur so ein textdokument neben dem andern ordner, wie kann ich jetzt weiter machen?

benutz windows, dummie

keine lust 10 euro aus zu geben und ist nicht mein haupt rechner

...zum Beitrag

Braucht ein Linux-PC einen Virenschutz?

Was meint Ihr, wäre es sinnvoll ?

Es ist ja immer die Frage, über die sich viele IT-Experten streiten.

Einerseits, ist Linux von Grund auf bereits sicher, denn es bezieht seine Pakete aus streng geprüften Paketquellen, bei denen es sich meist um Open-Source-Software handelt, sodass jeder in der Lage ist, sich den Quellcode anzusehen, und zu bewerten was die Software macht.

Außerdem ist das Rechtesystem (nicht alles wird als Root ausgeführt) in Linux sehr sinnvoll gestaltet. So kann kaum ein Schaden systemweit entstehen.

Zudem gibt es auch bislang sehr wenige Schadsoftware die auf Linux läuft, was wohl auf die niedrige Benutzerzahl zurückzuführen ist.

Andererseits, gibt es insgesamt immer mehr Viren im Umlauf, auch für Linux und die Nutzerzahlen nehmen zu, damit möglicherweise auch die Virenproduktion für Linux.

Also, was denkt Ihr?

Ist es nötig für den normalen Desktop-Anwender einen Virenschutz auf dem System zu installieren?

...zum Beitrag

Warum reden so viele von Linux?

Was ist so cool an diesem Betriebssystem?

...zum Beitrag

Welches linux os ist besser zum zocken garuda oder nobara?

...zum Beitrag

Welches Betriebssystem ist besser, Windows oder Linux?

...zum Beitrag

Linux Debian 11 you need to load the kernel first?

Hallo, ich habe Linux Debian 11 ISO (ich weiß es gibt bereits 12) auf einem USB Stick mit rufus/ Linux live Creator und Etcher ausprobiert.

Wollte ihn Booten und bekomme das Problem im Bild. Ich weiß nicht wie ich das lösen soll. Könnt ihr mir da weiter helfen?

Ein anderes ISO image ausprobieren?

Andere Ideen?

...zum Beitrag

Minimale Linux Distro?

Guten Tag. Ich bin ein grosser Linux fan und sehe das Potential in Linux. Aber bis jetzt wahr ich noch nie 100% mit den Distributionen zufrieden.

Kennt ihr eine rolling Linux distribution, ausgeliefert mit Vanilla Gnome und nur mit den nötigsten Paketen (Also sowas wie die Gnome Spiele brauch ich nicht). System Installation grafisch. Und Software installation über Gnome Software.

Danke schonmal für alle Antworten

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen